Чеклист: безопасность ONLYOFFICE Enterprise Edition

Итак, вы установили ONLYOFFICE Enterprise Edition, а значит для вас важна безопасность. В этом посте мы расскажем, какие меры вы можете предпринять, чтобы обеспечить сохранность своих данных. В основном мы будем говорить о возможностях веб-интерфейса ONLYOFFICE, однако коснемся и некоторых общих моментов.

ONLYOFFICE Enterprise Edition Security

#1. SSL-сертификат

Если вы хотите дать пользователям портала не только локальный, но и внешний доступ, вам потребуется надежный SSL-сертификат. Сгенерируйте подписанный сертификат одним щелчком мышки в Панели управления ONLYOFFICE (для создания сертификатов будет использован сертификационный центр Let’s encrypt). Вы также можете приобрести сторонний сертификат, например, у Amazon или GoDaddy.

После установки сертификата проверьте уровень безопасности с помощью SSL Labs или другого подобного сервиса. Уровень безопасности должен быть не ниже А.

#2. Автоматический бэкап 

Включите резервное копирование данных в Панели управления. Мы рекомендуем также подключить сторонние средства и время от времени делать полный бэкап сервера, на котором развернуто решение.

Инструкции в нашем Справочном центре.

#3. Параметры безопасности в настройках портала

Перед добавлением пользователей стоит задать некоторые правила для обеспечения большей безопасности. Для этого перейдите в раздел Настройки -> Безопасность -> Доступ к порталу. В нём вы можете:

  • Ограничить доступ к порталу по IP-адресам, разрешив подключаться к нему только из доверенных сетей;
  • Выбрать доверенные почтовые домены, которые пользователи смогут использовать для регистрации;
  • Задать параметры надежности пользовательских паролей.

Подробная информация в Справочном центре.

Кроме того, можно включить двухфакторную аутентификацию c помощью сервисов Clickatell и SMSC. Инструкции по подключению сервисов здесь.

#4. Централизация доступа с помощью LDAP

В Панели управления ONLYOFFICE есть функция LDAP. Она позволяет за несколько минут импортировать в онлайн-офис нужных пользователей и группы с сервера LDAP (например, OpenLDAP Server или Microsoft Active Directory).

Плюсы:

  • Не нужно вручную добавлять всех пользователей с новыми логинами и паролями;
  • Никаких учетных записей «со стороны». Регистрация будет доступна только для пользователей, которые есть на сервере LDAP;
  • Новым пользователям не придется запоминать новые логины и пароли — они смогут заходить на портал под своими учетными данными с сервера LDAP.

Больше информации о LDAP здесь.

Для более удобной авторизации вы также можете использовать SSO. ONLYOFFICE поддерживает сервисы Shibboleth, OneLogin и AD FS.

#5 Подключите собственный SMTP-сервер

По умолчанию для рассылок уведомлений пользователям (например, о том, что им был расшарен документ) используется дефолтный ONLYOFFICE SMTP-сервер. Чтобы повысить безопасность, мы рекомендуем настроить свой собственный SMTP-сервер. Таким образом ваши уведомления не будут проходить через сторонний сервер.

Инструкции здесь.

#6 Защита от несанкционированного доступа к документам

Защита от несанкционированного доступа с помощью JWT включена по умолчанию. Эта технология защищает трафик портала и гарантирует, что пользователи не смогут получить доступ к большему количеству данных, чем им разрешено.

Принцип работы описан в документации к API ONLYOFFICE.

#7. Никакого root-доступа

Если вы ещё этого не сделали, то заблокируйте доступ для пользователя root, который имеет права на выполнение любых команд, даже критических для системы. 

#8. Закройте ненужные порты

Список нужных портов вы найдете тут.

Дополнительные платные возможности

Если вы переживаете за отказоустойчивость конкретного узла, у нас есть возможность кластеризации. Кроме того, мы будем рады помочь вам с подключением решения к уже существующей локальной базе данных. Если вы хотите воспользоваться этими услугами, пожалуйста, свяжитесь с нашим отделом продаж.

Если вам необходима техническая поддержка, пишите сюда.

 

Add a comment